analyse de log et TCP - Linux et OS Alternatifs
Marsh Posté le 26-02-2006 à 09:01:52
Déjà tu pourrais dire d'ou tu sors de tel logs.
Ensuite ce n'est pas vraiment des scans.
tes 1.2 et 3 t'informes que quelqu'un a ouvert une session sur le 139 (SAMBA) et a fait une requete, puis la fermé. SAMBA pour info c'est entre autres les partages de fichiers à la windows.
le 1. handshake tcp, 3 paquets pour ouvrir une session
2 requete SMB
3 fermeture propre de la connection.
Lorsque tu recois des paquets TCP PSH/RST, cela peut etre pris plus pour des scan par contre.
=> Si tout ca vient d'internet vérifie ton firewall, ca me semble etre une belle passoire.
Marsh Posté le 26-02-2006 à 17:22:36
ben,je tire cela de tcpdump,et janalyse avec ethereal,
c'est une machine que j'ai connecté a internet et je m'amuse a voir ce qui arrive dessus.
En fait des tentatives de connexion sur le port 139 jen ai bcp,
mais jai installe un logiciel qui ouvre le port,ie quil pourra y avoir une connexion
au niveau TCP,par contre,le service associe cest un truc bidon,donc il ne sait pas repondre au request du client,
il fait rien,
J'ai recut aussi des segment UDP vers le port 1433,ca doit etre des vers.
PAr contre,au niveau de UDP,je voulais savoir comment ou a quel niveau la machine
cible va enregistrer l'adresse source si elle veut repondre a la machine atatquante.
Est au niveau applicatif,transport?
Marsh Posté le 26-02-2006 à 17:55:01
Je doute qu'un forum soit l endroit idéal pour que tu puisse apprendre le réseau de ce type
conseil: revoit le model osi (bien qu'un peu obsolete de nos jour). Lis un peu pour savoir comment les différentes couches opère entre elle.
http://christian.caleca.free.fr/reseaux/mod_osi.htm
Marsh Posté le 27-02-2006 à 08:59:02
relis le topic...
Il ne cherche pas avoir une réponse toute faite
Il cherche a analyser de lui même les flux réseaux via un sniffer.
Marsh Posté le 26-02-2006 à 01:05:29
salut,je voulais juste savoir quand on recoit des scan de ce type comment linterprete?
1 Connexion TCP au port 139(SYN,SYN/ACK,ACK)
2 request SNMB
et apres 10 sec:
3 FIN/ACK
J4ai eut ce type de scan au moins 10 fois en une journe
Et aussi,je recois des segments TCP avec PSH et RST activé,comment les interpete?